Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
CURSINCIDENTE DE SECURITATEGDPR & CYBERSECURITYAbordare, Evaluare, Prevenție, Acțiune, Căi de atac
2019
MODULUL 1CyberSecurity
Autori:Adriana Huțuțui, JuristIonuț Socol, specialist ITSever Avram, Profesor Asociat și Coordonator General al
Catedrei Internaționale Onorifice ”Jean Bart”Sandu Zamfirescu, Formator certificat & Cercetător Asociat Academia Română,
Director Comunicare - Relații Publice al Asociației CLDR România
Cuprins
Pagina 98 din 100 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 1 Cybersecurity
X. CuprinsI. Prezentare inițială ..................................................................................... 3
II. Definiții și termeni ................................................................................ 4
III. CyberSecurity – baze și vulnerabilități ............................................... 13
Ce este CyberSecurity? .............................................................................. 13
De ce avem nevoie de CyberSecurity ........................................................ 13
Identitatea dumneavoastră online și offline ............................................... 14
Ce este regulamentul privind protecția generală a datelor (GDPR)........... 14
Despre datele dumneavoastră..................................................................... 15
Unde sunt datele dumneavoastră................................................................ 16
Riscul expunerii neautorizate a datelor dumneavoastră............................. 16
Regulamentul de CyberSecurity ................................................................ 17
Obiectivele principale ale Regulamentul de CyberSecurity ...................... 22
Securitatea cibernetica în cifre ................................................................... 23
Factorul uman............................................................................................. 24
Procese ....................................................................................................... 24
Tehnologie.................................................................................................. 25
Importanța securității cibernetice ............................................................... 26
Securitatea informatică este o chestiune critică ......................................... 26
Pierderile și costurile pentru încălcarea securității datelor ........................ 27
Atacurile cibernetice devin din ce în ce mai sofisticate............................. 29
Care sunt consecințele unui atac cibernetic?.............................................. 30
Atacurile cibernetice devin mai profitabile................................................ 31
IV. Elemente de securitate cibernetică ...................................................... 32
Protecția aplicațiilor ................................................................................... 32
Securitatea rețelei ....................................................................................... 32
Securitatea operațională ............................................................................. 32
Instruirea utilizatorilor finali ...................................................................... 32
Bordul administrativ și implicarea sa......................................................... 33
V. IoT – Internetul lucrurilor ................................................................... 34
Ce este Iot................................................................................................... 34
Cuprins
Pagina 99 din 100 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 1 Cybersecurity
Câte dispozitive IoT ne înconjoară ............................................................ 36
Securitatea IoT ........................................................................................... 37
Avantaje și temeri legate de echipamentele IoT ........................................ 38
VI. Testele de penetrare............................................................................. 39
Scopul testelor de penetrare ....................................................................... 40
Prezentarea evaluării vulnerabilităților ...................................................... 41
Prezentarea testelor de penetrare................................................................ 41
Tipuri de teste de penetrare ........................................................................ 42
Rolul și responsabilitățile echipei de testare .............................................. 43
Dezavantajele testelor de penetrare............................................................ 43
Cât de des trebuie să efectuați teste de penetrare ....................................... 44
VII. Atacuri cibernetice și amenințări de securitate ................................... 46
Phishingul................................................................................................... 46
Inginerie sociala ......................................................................................... 47
DDoS (denial-of-service distribuit) atac .................................................... 47
Virușii......................................................................................................... 47
Viermi ........................................................................................................ 48
Malware...................................................................................................... 48
Troian ......................................................................................................... 48
Ransomware – răscumparare ..................................................................... 48
Spyware / adware ....................................................................................... 49
Injecție prin SQL ........................................................................................ 49
Atacul de tip MITM (man-in-the-middle).................................................. 50
Vulnerabilități în aplicațiile și rețelele web ............................................... 50
Atacul de tip Ziua Zero ............................................................................. 51
VIII. Analiza atacurilor cibernetice.......................................................... 53
Identificare și recunoaștere ........................................................................ 55
Recunoașterea externă ............................................................................ 57
Recunoașterea internă ............................................................................. 65
Atacul efectiv ............................................................................................. 67
Analiza tendințelor actuale ..................................................................... 68
Cuprins
Pagina 100 din 100 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 1 Cybersecurity
Atacurile de extorcare............................................................................. 68
Manipularea datelor ................................................................................ 69
Atacurile dispozitivelor IoT.................................................................... 70
Backdoors ............................................................................................... 71
Atacurile cu dispozitive mobile .............................................................. 72
Hackingul dispozitivelor de zi cu zi ....................................................... 74
Hackingul cloudurilor............................................................................. 75
Phishingul ............................................................................................... 77
Exploatarea unei vulnerabilități .............................................................. 78
Zero-Day................................................................................................. 79
Fuzzing ................................................................................................... 79
Analiza codului sursă.............................................................................. 80
Tipuri de tip Zero-Day............................................................................ 80
Buffer overflows..................................................................................... 81
Analizatorul de excepție structurat suprascrie ........................................ 81
Modul de acțiune și atac ......................................................................... 82
Comandă și control .................................................................................... 83
Descoperire și răspândire ........................................................................... 84
Extracție și exfiltrare .................................................................................. 84
IX. Atacuri de tip Ransomware - Răscumpărare....................................... 87
Evoluția Ransomware în 2018 ................................................................... 87
Recomandări generale cu privire la acest tip de atac ................................. 88
Despre Maoloa........................................................................................ 90
Despre Phobos ........................................................................................ 91
Despre GandCrab.................................................................................... 92
Despre LockCrypt................................................................................... 93
Despre Annabelle.................................................................................... 93
Despre LooCipher................................................................................... 94
Riscuri critice pentru securitatea cibernetica ............................................. 95
X. Cuprins ................................................................................................ 98
CURSINCIDENTE DE SECURITATEGDPR & CYBERSECURITYAbordare, Evaluare, Prevenție, Acțiune, Căi de atac
2019
MODULUL 2Incidente de securitate GDPR
Autori:Adriana Huțuțui, JuristIonuț Socol, specialist ITSever Avram, Profesor Asociat și Coordonator General al
Catedrei Internaționale Onorifice ”Jean Bart”Sandu Zamfirescu, Formator certificat & Cercetător Asociat Academia Română,
Director Comunicare - Relații Publice al Asociației CLDR România
Cuprins
Pagina 129 din 132 | Curs Incidente de securitate GDPR & Cybersecurity | Modu 2 Incidente desecuritate
XII. CuprinsI. Scurtă introducere în GDPR 3
Ce este regulamentul privind protecția generală a datelor (GDPR)? 3
Domeniul de aplicare material 6
Domeniul de aplicare teritorial 7
II. Breșele – incidentele de securitate 8
Probabilitatea apariției unei breșe de securitate 8
Ce este o breșă de securitate 8
Când o breșă devine o încălcare a securității datelor personale 9
Când un incident devine o încălcare a securității datelor personale 9
Tipuri de încălcări ale datelor cu caracter personal 12
Prevenirea apariției unei breșe de securitate 15
Măsuri organizatorice 21
Măsuri tehnice 23
Probarea măsurilor întreprinse 26
Impactul unei breșe de securitate 28
Posibilele consecințe ale încălcării datelor cu caracter personal 30
Când un operator devine "conștient" 32
Ce încălcări trebuie să notificăm autorităților 37
Ce rol au împuterniciții în breșele de securitate 39
În cât timp trebuie să raportăm o încălcare 39
Ce informații trebuie să conțină o notificare de încălcare 40
Dacă nu avem încă toate informațiile necesare 40
Ce se întâmplă dacă nu vom notifica? 41
Cum notificăm o încălcare la autoritatea de supraveghere 42
Când trebuie să anunțăm persoanele vizate despre o încălcare? 42
Măsuri suplimentare impuse de GDPR ca răspuns la o încălcări 44
Ce altceva ar trebui să luăm în considerare? 44
Instruirea și responsabilizarea angajaților 45
Riscurile Angajaților 51
III. Asigurări pentru incidente de securitate 52
Cuprins
Pagina 130 din 132 | Curs Incidente de securitate GDPR & Cybersecurity | Modu 2 Incidente desecuritate
Situația asigurărilor cibernetice din SUA 52
Situația din Uniunea Europeana 54
Ce va însemna GDPR pentru asigurarea cibernetică? 55
Asigurarea eventualelor amenzi pentru încălcarea GDPR 57
Asigurare de Răspundere privind Protecția Datelor GDPR & CyberSecurity60
Asigurarea de Răspundere privind Protecția Datelor GDPR 62
Asigurarea de Răspundere cibernetică CyberSecurity 64
Tabel comparativ Asigurări GDPR & CyberSecurity 65
Condiții generale pentru tipul de Asigurări GDPR & CyberSecurity 66
IV. Investigarea unui incident 70
Detectarea incidentelor 70
Analizarea incidentului 71
Evaluarea riscurilor 71
Activarea Procedurii de Răspuns la Incident 73
Convocarea Echipei de Răspuns la Incident 74
Membrii Echipei de Răspuns la Incident 74
Roluri și responsabilități 75
Agenda standard pentru întâlnirile Echipei de Răspuns la Incident 77
Managementul Incidentului, Monitorizare și Comunicare 78
Procedurile de comunicare 78
Comunicarea cu Autoritatea privind Supravegherea Datelor cu Caracter
Personal 79
Comunicarea cu Persoanele vizate 80
Alte comunicări externe 81
Comunicarea cu mass media 81
Măsuri reparatorii 83
Izolare 83
Eradicare 86
Recuperare 87
Notificarea 87
Cuprins
Pagina 131 din 132 | Curs Incidente de securitate GDPR & Cybersecurity | Modu 2 Incidente desecuritate
Activitatea de după incident 88
Notificarea Autorității de supraveghere (ANSPDCP) 89
Informarea persoanelor vizate cu privire la incidentele de securitate 92
V. Plan supraviețuire în caz de incident de securitate 95
VI. Învățăm din breșele anterioare 96
VII. Evaluarea riscurilor 99
Evaluarea riscului pentru terți – furnizori - împuterniciți 100
VIII. Exemple de breșe și incidente de securitate 102
Exemplu 1 – pierdere echipamente 102
Exemplu 2 – pierdere bază de date 102
Exemplu 3 – pierderea unei copii unice a unei baze de date 102
Exemplu 4 – expunerea datelor angajaților 103
Exemplu 5 – expunerea datelor pacienților 103
Exemplu 6 – expunerea public a unui fișier de export 103
Exemplu 7 – pierderea unor hard-discuri cu date 104
Exemplu 8 – distrugerea unei baze de date 104
Exemplu 9 – Expunerea datelor din neglijență 104
Exemplu 10 – Expunerea datelor din neglijență 104
Exemplu 11 – liste de evenimente expuse 104
Exemplu 12 – aplicații cu erori de programare 1 105
Exemplu 13 – aplicații cu erori de programare 2 105
Exemplu 14 – transmitere e-mail spre destinatar greșit 105
Exemplu 15 – pierderea corespondenței 105
Exemplu 16 – corespondență cu surprize 106
Exemplu 17 – Chiar mie? Nu, mie nu mi se poate întâmplă… 106
Exemplu 18 – pericolul vă așteaptă la fiecare colț 106
Exemplu 19 – când breșele de securitate ale lor devin ale noastre 106
Exemplu 20 – un update și datele s-au pierdut? 107
Exemplu 21 – breșă de securitate transmisă mai departe 107
Exemplu 22 – atacuri cibernetice și virușii prezenți peste tot 107
IX. Breșe de securitate din ultimul an 109
Cuprins
Pagina 132 din 132 | Curs Incidente de securitate GDPR & Cybersecurity | Modu 2 Incidente desecuritate
X. Breșe și incidente de securitate naționale 110
Un sac cu documente personale descoperit de inspectorii 110
Datele a mii de români, dezvăluite pe internet 111
15.000 Euro pentru încălcarea GDPR de către un hotel 111
Unicredit Bank - 130.000 Euro amenda pentru că a încălcat GDPR 114
Avocatoo - 3000 Euro pentru o bresă GDPR 116
XI. Breșe și incidente de securitate internaționale 121
WeTransfer – fișierele au fost expediate către alți destinatari 121
Echipamentele IT din ultimii 10 ani au o vulnerabilitate din fabricație 122
British Airways – datele a 380.000 clienți au fost furate 123
Facebook 50 de Milioane de conturi compromise 123
Google+ a fost închis deoarece a compromis 52,5 de Milioane de conturi
124
Breșa Huazhu – China – 100 Milioane de persoane afectate 124
Breșa majoră în securitatea iPhone 125
Breșa Huawei anunțată de Vodafone 125
Breșa de la NSA - USA 126
Breșa de la Marriott International – 339 Milioane de clienți 127
Baza date cu 763 Milioane de adrese unice de e-mail 127
Peste 770 Milioane de adrese e-mail și 21 Milioane de parole compromise128
XII. Cuprins 129
CURSINCIDENTE DE SECURITATEGDPR & CYBERSECURITYAbordare, Evaluare, Prevenție, Acțiune, Căi de atac
2019
MODULUL 3Autorități pentru aplicarea GDPR &
CyberSecurity
Autori:Adriana Huțuțui, JuristIonuț Socol, specialist ITSever Avram, Profesor Asociat și Coordonator General al
Catedrei Internaționale Onorifice ”Jean Bart”Sandu Zamfirescu, Formator certificat & Cercetător Asociat Academia Română,
Director Comunicare - Relații Publice al Asociației CLDR România
Cuprins
Pagina 180 din 185 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 3 Autoritățicompetente
XII. CuprinsI. Prezentare inițială ..................................................................................... 3
II. CyberSecurity la nivelul Uniunii Europene .......................................... 4
Directiva NIS – Directiva EU 1148/2016 .................................................... 4
Cronologie CyberSecurity la nivel european ............................................... 7
Statistici CyberSecurity................................................................................ 9
ENISA - Agenția a Uniunii Europene pentru Securitatea Rețelelor și a
Informațiilor ............................................................................................... 10
Cum funcționează ENISA ...................................................................... 11
CSIRT..................................................................................................... 12
Serviciile CSIRT..................................................................................... 13
CSIRT-uri active la nivel european ........................................................ 14
CyberSOPex2019 ................................................................................... 15
CERT-EU ............................................................................................... 16
Securitatea cibernetica în sectorul energetic .............................................. 17
Recomandări video EINSA – în limba engleză ......................................... 20
III. CyberSecurity la nivel Național .......................................................... 21
Autorități competente la nivel național ...................................................... 24
Principiile care stau la baza Legii NIS....................................................... 25
1. Principiul responsabilității și conștientizării ................................... 25
2. Principiul proporționalității ............................................................. 25
3. Principiul cooperării și coordonării ................................................. 25
Domeniile de aplicare ale acestei legi ........................................................ 25
Operatorii de servicii esențiale................................................................... 25
Obligațiile operatorilor de servicii esențiale .............................................. 28
Ce trebuie să pună la dispoziție operatorii la solicitare CERT-RO ........... 29
Coordonarea strategică la nivel național .................................................... 30
Echipele de intervenție în caz de incidente de securitate informatică ....... 31
Autoritatea competentă la nivel național - CERT-RO............................... 32
Care sunt atribuțiile generale ale CERT-RO ca autoritate competentă lanivel național .......................................................................................... 32
Cuprins
Pagina 181 din 185 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 3 Autoritățicompetente
Atribuții CERT-RO în calitate de punct național unic de contact.......... 36
Atribuții CERT-RO în calitate de CSIRT național................................. 37
Asigurarea securității rețelelor și sistemelor informatice .......................... 39
Care sunt cerințele minime de securitate? .............................................. 39
Notificarea incidentelor de securitate......................................................... 41
Ce informații trebuie să conțină în mod obligatoriu notificarea incidentelorde securitate................................................................................................ 41
Managementul notificărilor - incidentelor de securitate ............................ 43
IV. Protecția datelor personale la nivel European..................................... 45
AEPD - EDPS - Autoritatea Europeană pentru Protecția Datelor ............. 45
CEPD - EDPB - Comitetul European pentru Protecția Datelor................. 46
Autorități de supraveghere la nivelul fiecărui stat european...................... 47
V. Protecția datelor personale la nivel Național ...................................... 54
Despre ANSPDCP – Autoritatea Națională Privind Protecția Datelor cu
Caracter Personal ....................................................................................... 54
Depunerea petițiilor din partea persoanelor fizice ..................................... 56
Declarare persoană desemnată DPO .......................................................... 57
Raportare breșe și incidente de securitate .................................................. 57
Raportare breșe comunicații electronice .................................................... 58
Plata amenzi ............................................................................................... 60
VI. Pregătirea organizației pentru investigațiile GDPR............................ 62
Verificări și pregătiri prealabile ................................................................. 62
În ce condiții puteți fi subiectul unei investigații din partea ANSPDCP ... 65
Soluționarea unei petiții .......................................................................... 65
Desfășurarea unei investigații tematice sau din oficiu ........................... 66
Verificarea site-urilor web...................................................................... 68
Recomandări suplimentare ......................................................................... 69
VII. Investigații GDPR din partea autorităților .......................................... 71
Despre investigațiile GDPR ....................................................................... 71
Diferențe între tipurile de investigații ........................................................ 73
Cine poate desfășura o investigație GDPR ................................................ 75
Cuprins
Pagina 182 din 185 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 3 Autoritățicompetente
Exercitarea atribuțiilor autorităților............................................................ 75
Instrumente și opțiuni ale autorităților ....................................................... 77
Descurajarea neconformității și încălcării GDPR ...................................... 78
Efectuarea investigațiilor GDPR pe teren .................................................. 80
Activitățile inspectorilor în investigațiile din teren ................................ 83
Efectuarea investigațiilor GDPR la sediul autorității................................. 85
Efectuarea investigațiilor GDPR in scris ................................................... 87
Efectuarea investigațiilor autorităților publice........................................... 88
Drepturi și obligațiile operatorului investigat ............................................ 90
Drepturile operatorului investigat........................................................... 90
Obligațiile operatorului investigat .......................................................... 90
Obstrucționarea investigațiilor sau inspectorilor ....................................... 91
Procesul verbal de constatare sancționare întocmit la finalizarea investigației
.................................................................................................................... 92
Măsuri corective, plan de remediere .......................................................... 94
Sancțiuni transpuse in amendă ................................................................... 97
Amenzile prevăzute în Regulamentul European 679/2016 .................... 98
Amenzile prevăzute în Legea 190/2018 ............................................... 103
Amenda cu valoare de titlu executoriu ................................................. 108
Sancțiuni din partea persoanelor vizate ................................................ 108
Modul de stabilire a cuantumului amenzilor ........................................ 108
Timpul de răspuns la solicitările ANSPDCP ........................................... 111
VIII. Notificări breșe și răspunsuri la solicitările autorităților ............... 113
Ce informații trebuie să conțină o notificare de încălcare a autorității de
supraveghere?........................................................................................... 114
Dacă nu avem încă toate informațiile necesare? ...................................... 114
Cum putem notifica o încălcare ANSPDCP?........................................... 115
Ce se întâmplă dacă nu vom notifica?...................................................... 116
Când trebuie să anunțăm persoanelor vizate despre o încălcare? ............ 117
GDPR ne obligă să luăm orice altă măsură ca răspuns la o încălcare?.... 118
Ce altceva ar trebui să luăm în considerare? ............................................ 119
Cuprins
Pagina 183 din 185 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 3 Autoritățicompetente
Răspunsul la solicitările autorității de supraveghere................................ 120
IX. Contestații, termene de prescripție, căi de atac ................................. 124
Termene de contestare și atac .................................................................. 125
Persoanele fizice....................................................................................... 126
Recomandări privind contestarea ............................................................. 127
Termene de prescriptie ............................................................................. 129
X. Sancțiuni GDPR aplicate................................................................... 130
Sancțiuni aplicate la nivelul României..................................................... 130
ANSPDCP a amendat un operator de date personale cu 15.000 Euro pentru
încălcarea prevederilor GDPR ............................................................. 130
Avocatoo - 3000 Euro pentru o breșă GDPR ....................................... 134
Astfel, Autoritatea de supraveghere a decis sancționarea operatorului
bancar cu amenda contravențională pentru ca a incalcat prevederileimpuse prin Regulamentul 679/2016 GDPR și a drepturilor persoanelor
vizatePrimăria CLUJ sancționată de către ANSPDCP ......................... 138
ANSPDCP a amendat un operator de date personale 200.000 lei pentru
nerespectarea GDPR în privința unui incident de securitate ............... 139
ANSPDCP sancționează cel mai mare operator de telecomunicații pentru
prelucrare nelegală a datelor clienților ................................................. 139
ANSPDCP sancționează un operator de telecomunicații să șteargă datelecu caracter personal colectate fără avizul clienților.............................. 139
ANSPDCP amendează cu 7.000 lei un operator de telefonie, catv și acces
internet pentru că încalcă GDPR ......................................................... 140
ANSPDCP sancționează un operator de telefonie pentru comunicăricomerciale fără consimțământ .............................................................. 140
ANSPDCP sancționează cu amenda un Centru medical – 10.000 lei .. 140
Cea mai mare amenda GDPR la nivel național: Unicredit Bank 130.000 Euro
pentru nerespectarea prevederilor GDPR ................................................ 143
Sancțiuni aplicate la nivelul Uniunii Europene........................................ 145
Angajat service auto condamnat la 6 luni inchisoare cu executare ...... 145
Încălcarea dreptului la intimitate a chiriașului ..................................... 146
Amenzi după investigațiile a 40 de site-uri web................................... 148
Ofițer de poliție sanctionat cu amenda de 1.400 Euro.......................... 149
Cuprins
Pagina 184 din 185 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 3 Autoritățicompetente
Primar din Belgia sancționat cu amenda de 2.000 Euro....................... 150
Monitorizare CCTV 6 angajati și nerespectare măsuri impuse – 20.000
euro ....................................................................................................... 151
Site web - date personale expuse - 20.000 Euro.................................. 152
Partid politic ungar – breșă de securitate – 35.000 Euro ...................... 153
Apeluri nesolicitate marketing direct – 80.000 Lire............................. 155
Apeluri in scop de de marketing fără consimțământ – 90.000 Lire ..... 155
Între 10 februarie 2017 și 24 septembrie 2018 Smart Home Protection Ltd
a utilizat un serviciu public de telecomunicații în scopul efectuării a 125de solicitări nesolicitate de marketing direct către abonați, în cazul în care
numărul alocat abonatului pentru linia numită a fost un număr enumeratpe registrul numerelor păstrate de comisar în conformitate cu regula 26,
contrar dispozițiilor articolului 21 alineatul (1) litera (b) din PECR; și156
De asemenea, comisarul este mulțumit în sensul regulamentului 21 căaceste apeluri au fost adresate abonaților care s-au înregistrat la TPS cu
cel puțin 28 de zile înainte de primirea apelurilor și nu și-au dat acordul
prealabil pentru Smart Home Protection Ltd pentru a primi apeluri. ... 156
Mesaje SMS in scop de de marketing fără consimțământ – 100.000 Lire
.............................................................................................................. 157
Pierderea unui stick cu date personale - 120.000 Lire.......................... 157
Apeluri telefonice nesolicitate – 250.000 Lire ..................................... 161
Nerespectarea termenelor de stergere a datelor – 200.000 Euro .......... 162
Spitalul Barreiro – amendat cu 400.000 Euro ...................................... 163
Uber – date expuse intr-un atac cibernetic– 385.000 Lire.................... 163
Spitalul Haga – amendat cu 460.000 Euro ........................................... 165
Vulnerabilitate in site web - 400.000 Euro........................................... 165
Schimb de date personale – 400.000 Lire............................................. 167
Facebook - 500.000 Lire pentru o breșa de securitate......................... 168
Google – 50 Milioane Euro .................................................................. 169
Cea mai mare amenda GDPR la nivel internațional: 183.390.000 Lire pentru
British Airways ........................................................................................ 172
XI. Cadru legislativ ................................................................................. 174
Legislația europeană................................................................................. 174
Cuprins
Pagina 185 din 185 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 3 Autoritățicompetente
Legislatia nationala .................................................................................. 174
Decizii interne ANSPDCP ....................................................................... 176
Decizii interne ANSPDCP abrogate ........................................................ 177
XII. Cuprins .............................................................................................. 180
CURSINCIDENTE DE SECURITATEGDPR & CYBERSECURITYAbordare, Evaluare, Prevenție, Acțiune, Căi de atac
2019
MODULUL 4Laborator – programe și documentepractice și tehnice
Autori:Adriana Huțuțui, juristIonuț Socol, specialist ITSever Avram, Profesor Asociat și Coordonator General al
Catedrei Internaționale Onorifice ”Jean Bart”Sandu Zamfirescu, Formator certificat & Cercetător Asociat Academia Română,
Director Comunicare - Relații Publice al Asociației CLDR România
Cuprins
Pagina 121 din 125 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 4 Laborator,Soluții
XII. ConținutI. Prezentare inițială ..................................................................................... 3
II. Politica de gestionare DSAR................................................................. 4
A. Cererea DSAR......................................................................................... 4
B. Verificare identitatii solicitantului........................................................... 4
C. Informatii privind cererea de acces pentru persoana vizata .................... 4
D. Validarea DSAR...................................................................................... 5
E. Costuri...................................................................................................... 5
F. Revizuirea informatiilor........................................................................... 6
G. Raspunsul la cererile de acces................................................................. 6
H. Mod de lucru ........................................................................................... 7
I. Arhivarea .................................................................................................. 7
J. Diagrama DSAR....................................................................................... 8
III. Politica de gestionare breșe de securitate.............................................. 9
A. Obiective ................................................................................................. 9
B. Detectarea incidentelor, evaluarea si analiza acestora ............................ 9
C. Activarea Procedurii de Raspuns la Incident......................................... 12
D. Convocarea Echipei de Raspuns la Incident ......................................... 13
1. Membrii Echipei de Raspuns la Incident............................................ 13
2. Roluri si responsabilitati ..................................................................... 14
3. Agenda standard pentru intalnirile Echipei de Raspuns la Incident ... 16
E. Managementul Incidentului, Monitorizare si Comunicare.................... 17
F. Procedurile de comunicare..................................................................... 17
1. Comunicarea cu Autoritatea privind Supravegherea Datelor cu Caracter
Personal................................................................................................... 18
2. Comunicarea cu Persoanele vizate ..................................................... 18
3. Alte comunicari externe...................................................................... 18
4. Comunicarea cu media ....................................................................... 19
G. Masuri reparatorii .................................................................................. 20
1. Izolare ................................................................................................. 20
2. Eradicare ............................................................................................. 22
Cuprins
Pagina 122 din 125 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 4 Laborator,Soluții
3. Recuperare .......................................................................................... 22
4. Notificarea .......................................................................................... 23
H. Activitatea de dupa incident .................................................................. 23
l. Notificarea Autoritatii de supraveghere (ANSPDCP) ............................ 24
J. Informarea persoanelor vizate cu privire la incidentele de securitate .... 26
K. Revizuirea procedurii ............................................................................ 28
L. Activitati post incident........................................................................... 28
M. Finalizarea procedruii ........................................................................... 28
IV. Plan de remediere................................................................................ 30
V. Anunțarea unui incident de securitate GDPR ..................................... 33
VI. Masuri tehnice și organizatorice recomandate pentru operatori ......... 40
Gama standard de măsuri tehnice și organizatorice ................................... 41
Măsuri organizatorice de securitate ........................................................ 41
Măsuri tehnice de securitate ................................................................... 42
Măsuri de asigurare a confidențialității .................................................. 45
Măsuri de asigurare a integrității ............................................................ 46
Măsuri de asigurare a disponibilității și durabilității .............................. 46
Măsuri pentru pseudo-anonimizarea datelor cu caracter personal ......... 47
Măsuri pentru criptarea datelor cu caracter personal.............................. 47
Măsuri pentru restaurarea rapidă a disponibilității datelor după un incident................................................................................................................ 47
Analiză, evaluare și revizuire periodice ................................................. 48
Cerințele legislative clare pentru adoptarea de măsuri tehnice șiorganizatorice ............................................................................................. 49
VII. Liste de verificare pentru CyberSecurity ............................................ 52
Realizarea de liste de verificare personalizate de CyberSecurity .............. 52
Riscul de atac / Impactul atacului........................................................... 53
Cauze posibile......................................................................................... 54
Există și atacuri interne........................................................................... 54
Bugetul pentru IT.................................................................................... 55
Costul pentru departamentele non-IT ..................................................... 55
Cuprins
Pagina 123 din 125 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 4 Laborator,Soluții
Bugetarea pentru securitatea cibernetică ................................................ 56
Exemple de check-list de CyberSecurity ................................................... 57
Exemplul #1............................................................................................ 57
Exemplul #2............................................................................................ 61
VIII. Instrumente si soluții informatice de preventive si tratament incidentesi atacuri cibernetice ...................................................................................... 74
Soluții de criptare a hard disk-urilor .......................................................... 74
GravityZone Full-Disk Encryption ferit de BitDefender ....................... 74
Laboratorul virtual. Cum poate un hacker să ne fure parolele oferit de SRI.................................................................................................................... 74
Test de Securitate a echipamentului oferit de Quartz Matrix .................... 75
Instrumente anti ransome ........................................................................... 76
Decriptor pentru GandCrab .................................................................... 77
Decriptor pentru LockCrypt ................................................................... 77
Decriptor pentru Annabelle .................................................................... 78
Decriptor pentru BTCWare .................................................................... 79
Bitdefender Ransomware Recognition Tool .......................................... 80
Solutii de imunizare pentru CryptoWall................................................. 80
Imunizatorul USB................................................................................... 81
Scanner client din reteaua de WIFI pentru acasa ................................... 82
Bitdefender Rootkit Remover................................................................. 82
Decriptor LooChiper............................................................................... 83
NOMORERANSOM.............................................................................. 84
Harți live cu amenințări și atacuri cibernetice............................................ 84
Soluții de scanare și testare vulnerabilități................................................. 85
Nmap & Zenmap .................................................................................... 85
Metasploit ............................................................................................... 86
John Ripper............................................................................................. 86
THC Hydra ............................................................................................. 87
Wireshark................................................................................................ 87
Aircrack-ng ............................................................................................. 88
Cuprins
Pagina 124 din 125 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 4 Laborator,Soluții
Nikto ....................................................................................................... 88
Kismet..................................................................................................... 89
Cain și Abel ............................................................................................ 89
Prismdump.............................................................................................. 90
Tcpdump ................................................................................................. 90
Scanrand ................................................................................................. 90
Nessus ..................................................................................................... 91
Penetrarea in servere cu Jenkins ............................................................. 92
IX. Studii de caz – jursiprudență protecția datelor .................................... 93
1. Raportarea datelor personale către sisteme de evidență tip birou de credit.................................................................................................................... 95
FIȘĂ DE CAZ 1 ..................................................................................... 95
FIȘĂ DE CAZ 2 ..................................................................................... 96
FIȘĂ DE CAZ 3 ..................................................................................... 97
2. Prelucrarea datelor personale prin mijloace de supraveghere video...... 97
FIȘĂ DE CAZ 1 ..................................................................................... 97
FIȘĂ DE CAZ 2 ..................................................................................... 98
FIȘĂ DE CAZ 3 ..................................................................................... 99
FIȘĂ DE CAZ 4 ................................................................................... 100
FIȘĂ DE CAZ 5 ................................................................................... 100
3. Dezvăluirea datelor personale către diverse entități ............................ 101
FIȘĂ DE CAZ 1 ................................................................................... 101
FIȘĂ DE CAZ 2 ................................................................................... 102
FIȘĂ DE CAZ 3 ................................................................................... 102
4. Prelucrarea excesivă a datelor personale.............................................. 103
FIȘĂ DE CAZ 1 ................................................................................... 103
FIȘĂ DE CAZ 2 ................................................................................... 105
FIȘĂ DE CAZ 3 ................................................................................... 106
FIȘĂ DE CAZ 4 ................................................................................... 106
5. Nerespectarea drepturilor de informare, acces, intervenție și opoziție 107
FIȘĂ DE CAZ 1 ................................................................................... 107
Cuprins
Pagina 125 din 125 | Curs Incidente de securiate GDPR & Cybersecurity | Modul 4 Laborator,Soluții
FIȘĂ DE CAZ 2 ................................................................................... 108
FIȘĂ DE CAZ 3 ................................................................................... 109
FIȘĂ DE CAZ 4 ................................................................................... 110
FIȘĂ DE CAZ 5 ................................................................................... 110
6. Transmiterea de comunicări comerciale prin mijloace de comunicațieelectronică ................................................................................................ 111
FIȘĂ DE CAZ 1 ................................................................................... 111
FIȘĂ DE CAZ 2 ................................................................................... 112
FIȘĂ DE CAZ 3 ................................................................................... 113
7. Încălcarea regulilor de confidențialitate și securitate a prelucrărilor de date.................................................................................................................. 114
FIȘĂ DE CAZ 1 ................................................................................... 116
FIȘĂ DE CAZ 2 ................................................................................... 117
X. Continuitate și Evaluare .................................................................... 119
XI. Cuprins .............................................................................................. 120